Hvad er persondata og persondatalov?
Persondata er de oplysninger, der knytter sig til en bestemt person, som enten direkte eller indirekte kan identificere dig som person. Det kan være dit navn, CPR-nummer, ip-adresse eller din e-mail, men det gælder eksempelvis også oplysninger, der er indhentet via sociale medier.
Persondataloven er loven for, hvornår og hvordan personoplysninger skal behandles i Danmark. Loven gælder både for private virksomheder, foreninger, organisationer og offentlige myndigheder. Den nye persondataforordning kommer fra EU, og den skal ensarte reglerne om databeskyttelse på det europæiske marked, og den medfører yderligere stramninger i forhold til den danske persondatalov.
7 vigtige ændringer i den nye persondataforordning
Det er især syv ting, som er væsentlige ændringer i den nye persondataforordning, som virksomheder skal være opmærksomme på. Ændringerne er opsummeret her, men vil blive yderligere uddybet nedenfor:
- Øgede dokumentationskrav
- Udpege en databeskyttelsesansvarlig (Data Protection Officer)
- Retten til at ”blive glemt” (Right to be forgotten)
- Pligt til at udarbejde konsekvensanalyse (Privacy Impact Assesments)
- Pligt til at medtænke databeskyttelse fra start (Privacy by design og - by default)
- Retten til dataportabilitet
- Risiko for væsentligt højere bøde
Der er i alt 99 artikler i den nye persondataforordning, som skal efterleves af samtlige lande i EU, men der er mulighed for at fastsætte nationale særregler i visse tilfælde.
1. Øgede krav til dokumentation hos virksomheder
Den nye persondataforordning stiller øgede dokumentationskrav til hvilke data, virksomheder behandler samt, hvad virksomhedens formål med dataindsamlingen er. Den registrerede person har ret til at se formålet og de data, der bliver indsamlet – det bliver kaldt for oplysningspligt. Ændres der i behandlingen eller formålet med indsamlingen, skal der indhentes et nyt samtykke fra den person, der er involveret.
Virksomheder skal sørge for, at det fremgår, hvilke personer, der bliver registreret data om og hvem, der modtager disse oplysninger. Derudover skal det dokumenteres, hvis oplysningerne videregives til usikre tredjelande, der ikke indgår i Det Europæiske Fællesskab. Til sidst skal der være en tidsfrist for sletning af den indsamlede data.
2. Vælg en ansvarlig for databeskyttelse (Data Protection Officer)
Når den nye persondatalov træder i kraft, er det obligatorisk for offentlige myndigheder og nogle private virksomheder at vælge en Data Protection Officer. Der skal vælges en dataansvarlig, hvis der er behov for omfattende og systematisk overvågning af personer, eller hvis virksomheden behandler følsomme oplysninger. Det kan være oplysninger om helbred, seksuelle forhold, politisk overbevisning, religiøse forhold eller straffeattest.
Den dataansvarlige skal sikre, at den nye persondataforordning overholdes i den daglige drift, og personen kan enten være en medarbejder eller en ekstern konsulent. Er det en fast medarbejder, må personen gerne udføre sit daglige arbejde, så længe det ikke resulterer i en interessekonflikt i forhold til stillingen som Data Protection Officer.
Tip: Er du dataansvarlig, kan du med fordel stille følgende 12 spørgsmål, som du skal forholde dig til.
3. Retten til at ”blive glemt” (The right to be forgotten)
En væsentlig ændring i den nye persondatalov er, at personen der indsamles data om, i nogle tilfælde har ret til at ”blive glemt”. Det betyder, at den registrerede person kan anmode om at få slettet sine oplysninger eller få dem rettet, hvis de eksempelvis er irrelevante eller forkerte. Er det ikke nødvendigt at behandle personens data for at opnå formålet med indsamlingen, har personen ret til at få sin data slettet.
For at undgå kedsommelig læsning om paragraffer, er det tilstrækkeligt at slå fast: Det er den dataansvarliges ansvar, at de parter, der er i besiddelse af en persons data får at vide, hvis personen ønsker sin data slettet eller ændret.
4. Udarbejdelse af konsekvensanalyser (Privacy Impact Assesments)
Den nye persondatalov gør det lovpligtigt, at der udarbejdes en konsekvensanalyse over de risici, der er forbundet med databehandlingen for de registrerede personer. Det betyder, at hvis du besidder personfølsomme oplysninger eller overvågning af offentlige arealer, skal den dataansvarlige beskrive hvilke sikkerhedsforanstaltninger, der vil blive foretaget.
Rent praktisk betyder det, at de behandlingsmetoder, der laves for at mindske sikkerhedsbrister, skal identficeres og forklares grundigt. Derudover skal der laves en evaluering af hvilke risici, der er for de registrerede personer, hvis der skulle ske et sikkerhedsbrist.
I den forbindelse er det vigtigt at nævne, at hvis der skulle ske et sikkerhedsbrist, har den dataansvarlige pligt til at give Datatilsynet besked inden for 72 timer. Det kan eksempelvis være, hvis persondata bliver tilgængelig for andre end dem, der burde have adgang til den pågældende data.
5. Indbygget databeskyttelse fra start (Privacy by design / - by default)
I den nye persondataforordning bliver det et krav, at databeskyttelse medtænkes fra start, når der udvikles ny teknologi, produkter eller ydelser. Det bliver kaldt for Privacy by design eller Privacy by default.
Det kan eksempelvis være, hvis en virksomhed ønsker at udvikle en app. I et sådan tilfælde vil det være nødvendigt at undersøge, om app’en skal indeholde behandling af persondata. Hvis der er behandling af persondata forbundet med app’en, kan der være behov for, at informationerne bliver krypterede, så det kun er udvalgte, der har adgang til denne data.
6. Retten til dataportabilitet
En af de regler i den nye persondatalov, som umiddelbart lyder nemmere at overholde end andre, er retten til dataportabilitet. Dataportabilitet betyder, at en person kan bede om at få sin data overført fra en dataansvarlig til en anden. Det er dog kun, hvor det rent teknisk er muligt.
Det kan være, hvis en kunde har internet hos en bestemt udbyder. Her vil virksomheden være i besiddelse af personens navn, adresse, internethastighed og andre relevante data. Hvis kunden ønsker at skifte til en anden udbyder, vil det være muligt at bede om at få flyttet sine persondata, hvis det kan gøres elektronisk.
7. Undgå de væsentligt højere bøder
Det er alvor, når den nye persondatalov træder i kraft, hvilket er tydeligt, hvis du ser på de potentielle bøder, der kan blive givet for overtrædelse af forordningen. Der er to bødeniveauer, hvor vi godt kan afsløre, at de ikke er på niveau med en fartbøde.
På det laveste bødeniveau er bøden det højeste af enten 2% af virksomhedens globale omsætning eller 10 millioner euro. Denne bøde kan gives, hvis virksomheden ikke giver besked til Datatilsynet om et sikkerhedsbrist, eller ikke har lavet en konsekvensanalyse og til sidst, hvis oplysningspligten ikke overholdes.
Det højeste bødeniveau kan udløse en bøde på 4% af virksomhedens globale omsætning eller 20 millioner euro. Det kan ske, hvis en virksomhed har databehandlinger, der er uden grundlag, ikke overholder tidsfristen for sletninger, ikke giver indsigt eller retter data, samt hvis de giver persondata til usikre tredjelande, der ikke er med i EU.
Hvad er formålet med den nye persondatalov?
De øgede dokumentationskrav skal hjælpe med at kortlægge, hvordan datastrømme i virksomheder håndteres – lige fra de indsamles, til de slettes og arkiveres. De personer, der bliver indsamlet persondata om, har ret til at se formålet med dataindsamlingen, og de skal have kontaktoplysninger på den dataansvarlige i virksomheden, så de har let adgang til at se den indsamlede data.
Derudover er den nye persondatalov med til at beskytte borgerne imod uretmæssig brug af deres data. Folks personlige data er hidtil blevet solgt i stor stil, og det er blandt årsagerne til den nye persondataforordning.
Det kan være, at du kender situationen, hvor din telefon ringer, og en sælger giver dig en indøvet salgstale med et uimodståeligt tilbud på katten i sækken. Bagefter undrer du dig over, hvordan i al verden personen har fået fat i dine kontaktoplysninger. Det er blandt andet situationer som disse, den nye persondatalov forsøger at komme til livs.
Sådan tjekker du, om du er klar til de nye regler
Pibler sveden ned fra din pande, fordi du synes, der er meget, du skal have styr på? Så har vi to gode nyheder til dig. Den første nyhed er, at den nye persondatalov først træder i kraft d. 25. maj 2018. Det betyder, at du kan nå at få helt styr på din datahåndtering, inden den nye persondatalov bliver en realitet – men du har travlt, hvis du skal starte helt fra scratch!
Den anden gode nyhed er, at hvis du er i tvivl, om din virksomhed opfylder reglerne til den nye persondataforordning, kan du benytte PrivacyKompasset til at tjekke det. Her skal du svare på 17 spørgsmål, hvorefter du får svar med det samme, om du er klædt tilstrækkeligt på til den nye persondatalov.
Er du klædt på til den nye persondatalov?
Har du behov for en gennemgang af din nuværende dataindsamling i Google Analytics og din anvendelse af cookies, tilbyder vi en auditering som en del af vores services hos iProspect. Auditeringen giver en score fra 0-100 på, hvor troværdig din dataindsamling er, og du vil få tilknyttet eventuelle kommentarer, hvis der er problemer med din lagring af persondata.
